/ 


без использования прош ие ]=7 
_ показываем на примере _ | 
ПЛК МеаЫ в 
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‚. / 1 / 
| у 
я ИИ 
ИИ, 
[И ++ 
и 
/| { 
/ У н н неа" 
\ 
| ] | 
| 
| ] 


| 2022 


Обо мне 


° Реверс-инженер > 23 лет . Ведущий специалист отдела 
анализа приложений 


. Исследователь прошивок 
в роз ме ЕесИпоод!е$ 


. Кандидат технических наук 


. РНОауз, Хегопа 1$, НТВЗесСотт (Атегааг), Наскгоп (Тепег!е) 


Антон Дорфман 


» С\Е в Мизир$ Еес1пс, эсппеаег Еестс, \\/АСО, СОРЕЗУ$ 
» СРУ-модуль МОЗ 1 для РА Рго (Нех-Кау$ Риадт Соще$1) 
. Атаки на ПЛК с принтера с модифицированной прошивкой 


Чем я занимаюсь [РЕ 


Увлечения Специализация 


. Прошивки с редкими архитектурами СРУ Протоколы и форматы данных 
‚ Автоматизация задач Кеуегзе Епатеегпта ‚ Уязвимости 
. Промышленные ПЛК и етредаеа-устройства ‚ Шеллкоды - импланты в прошивки 


Инструментарий Архитектура СРУ Е 


‚ Декомпилятор Нех-Кау$ . Х86/хо4 Отладочные символы 

‚ Дизассемблер РА Рго -> 1а6 ‚ АЮМ/АЮМ64 ‚ Части исходников в Интернет 
‚ Скрипты на РАРУу{ЕПоп ‚ РомегРС/РРС64, МР$У/МР$64 ° Сообщения об ошибках 

. Сетевой анализатор \Л/Лгезрагк ° НМасШ/Вепеза$ Н8/5$ирегН ‚ Текстовые строки 


. Скрипты на Ру{Поп ° МО5З, 2??? ‚ Неттекстовых строк 


Структура доклада 


О) Введение 


т. Предварительный анализ 
т Исследование 


(4) Ке\уегзе Епатеейпта 


(5) Результаты 


(6) Уязвимости 


(7) Демо 


Введение 


Что такое ПЛК 


.‹ Программируемый логический контроллер (ПЛК, РЕС) - это разновидность ЭВМ, 
для работы в системах реального времени 


ы Применение — автоматизация технологических процессов 


‚ Основной режим работы - длительное автономное использование без серьезного 
обслуживания и без вмешательства в работу 


ПЛК в отличие от 


» микроконтроллера - самостоятельное устройство, а не отдельная микросхема 
. встраиваемой системы — ПЛК отделен от управляемого им оборудования 


. компьютера, который управляется оператором - ориентирован на работу 
с датчиками через входы и исполнительными устройствами через выходы 


Промышленные ПЛК 


Нага\маге 


» СРУ: АЮМ, Ро\мегРС, МР5, Х86, МОЗ и др. 
»е РОМ, РАМ, НазН, Мелмогк Сага, Вата Виз 


» ОС реального времени, многозадачность 
» Файловая система, свои форматы файлов 
. Шифрование обновлений 

» Парольная защита доступа и др. 


‚ Пете, ТСРЛР, ЗММР, НТТР, ЕТР и др. 
‚ МоаБч$, ОРС, ЕС и др. 
» Проприетарные протоколы 


Технологическая сеть глазами злоумышленника 


Интернет КСПД (ДМЗ) Верхнии уровень ТС Среднии уровень ТС — Нижний уровень ТС 


АРМ 
Сервер начальника 


Г. Г. ий 
= й | = 25 Датчики 
> > ЕЕ —> Е 
| в | Е а Е 
й Шлюз | | Сервер п. [5 
Внешний Смежная и. и, 5САБА 


сервер система 


(ЕВР, МЕЗ$ ит.д.) Исполнительные 


АРМ АРМ а 
оператора инженера «р устройства 


А что, если он сможет подключится ? 


уе с и 
@ И: > 


лос, 


Какие последствия могут быть? 


Правильный ответ на вопрос разный 


Влияние на технологический процесс: Последствия: 
‚ Остановка процесса ‚ Бракованные изделия 
. Блокирование запуска . Авария на производстве 
» Подмена управляющих входов и выходов ‚ Остановка предоставления ресурсов 


‚ Подмена параметров и настроек ‚ Техногенная катастрофа 


Реальные случаи атак 


2010 Зтихпет 


Протокол между Эитайс 57 и ЗСАВА \ММпСС 


"Нарушил работу почти 1000 центрифуг 
для обогащения уранового топлива", 
"Приостановил ядерную программу Ирана" 


2016 паи${гоуег 


[ЕС 101, 1ЕС 104, [ЕС 61850, ОРС ВА 
Электрические подстанции 


2022 Рреадгеат 


ЕМ$, Моари$ СОРЕЗУ$, ОРС (ЦА, 
некоторые ПЛК Отгоп ‚ Зсппеаег Ее‹{пс 
Электрические подстанции 

и производство сжиженного газа 


2021-22 Атаки 


Водоснабжение: Атака 55 ПЛК Вегапот (Израиль) 


ТЭК: Соота! Р'рете (США), 
гидроэлектростанция Гури (Венесуэла), 
нефтебазы ОЩапкта и МаБапаН (Германия), 
нефтетерминалы ЗЕА-штуез+ (Бельгия) и Е\о$ 
(Нидерланды) 


Металургия: 3 сталелитейных завода (Иран) 


Производство: 14 заводов Койта пач {пез 
(Япония), ветряные турбины Могаех (Германия) 


Агропромышленность: остановка техпроцессов 
"Мираторг" (РФ), остановка завода "Тавр"(РФ) 


Транспорт: временный паралич ЖД Белорусии, 
ЖД Польши, ЖД Дании, ЖД Италии 


МИ$зчы$т [РЕ 


° Входит в тройку МЕГЗЕС О-В 


мировых лидеров 


. Выпустила >17 Насосные станции 


миллионов ПЛК МАЕ 


‚ Канализационно- 


Меаит - Ва насосные станции 


МЕЕЗЕС 10-Е ! на 
Е — (Микроэлектроника Вентиляция в зданиях 


т) 
системы ыы у Г. у 
у: : ь | тай - Медыт | у | ее 


эта! — Меаит 
‚ Вагоноопрокидыватели 


211: № 


‚ Системы на ТЭЦ 


е [Шлюзы 
на водохранилищах 


Оборудование общего назначения 
(упаковка, пищевая промышленность, литье) 


10 


Задачи исследования 


Разобрать протокол 
и получить его 
описание 


Научиться общаться 
в ПЛК с помощью 
скриптов 


Найти уязвимости 
в ПЛК 


САКО 


&5-485 о ® 


$0 


КАМ 50/80 ® 


ССАТПКЕ Фечваск 


РА. 


№М01234567 
$ 
10 11 12 131415161 


ЕХ5Ц-32М 


0101234567 
10 й 12 13 14151617 


Ш 


1....ЕХО Ц-32МВ/Е 


НЕ 


м - 


ОВОС 21 91 99 989 908 46 58 35 55 24 33 32 44 52 27 45 


Как вам такой трафик? 


в: 


оу 901 901 998 99 11 11 
весе 59 99 989 09 99 99 99 99 99 


ЕееЕеолО  ©3 99 99 235 99 1с да 16 
ЭВО9896Б9 99 98 98 92 89 49 22 44 


Е, 


12 


о ИО 


се - 


989989969 7 91 91 99 98 11 11 


и 
я 
я 
ре 
я 
я 


9с ба 18 14]09 98] 9 


в9 ев 99 099 в9 


© 11 11 7-Е 00 99 


Предварительный анализ 


ЕХо Ц-32МВ/Е 


есь 


, 
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В - И: 


И 


с - 


РВ 


М Рготосо]| 


ее "Тве Зит ОРА! Ееагз, \МПеп 1С$ ЗСАОА 
Аге Сотргогтзеа" Зейтоп Уапа, Маг 
Спепа, ТХОпе Ме\могк$ апа Тгепа М сго, 
| №емокм.  — | лье | тьме | 25ушз | 25 | НТВ+ Субег \Л№еек, Ари Обаф, ЦАЕ: 12-17 
[см А 16ме | 1ие | 46ие | 4из_| ОстоБег 2019 


ь. —_—_._._—_ 


Впагу А$СИ 
[Везропзе] 


ПОВИ-ТЕТ-ВВИ ео тет 
ии ЕР ЕтТЕЫЯ О ПОС ЕТ ПОСТ 
Годкотыя [зв [зле [ зем [ тя 
О О О ОНИ И = : 
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М Ргофосо| м5 РСАР (Веаа Капаот) [РЕ 


[Ведие$\] Втагу 31 


67 ев}ве ев во 11 11 9; ое ев [ЕР +Р 03] 00 08 +е 
03 90 99 52 99 1с Ва 16 14 99 909 90 99 90 99 99 
90 90 909 90 909 00 909 900 09 990 09 90 09 94 11 91 
09 90 98 90 90 90 99 90 090 99 909 99 99 02 90 99 
90 90 99 90 92 00 98 21 0842 27 90 09 90 99 90 
90 90 90 90 99 90 98 21 09943 27 90 909 90 99 909 
90 90 99 900 99 99 98 
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РСАР м$ Мапча! (Реаа Рап4от) 


НЕ Ф рю зп 553ю Ре) = 

0 о о о В 2 5 

о > 29| сс этЕ| = = 
57 00 00 00 00 11 11 07 08 968 Е +Е 03| 00 00 +е Фо © 5 5х 0 бое © а 
93 90 09 52 00 1с @а 16 14 90 90 09 09 00 90 09 =: 5 Е 52 Эе е В 
00 00 00 00 00 00 00 00 00 900 00 00 90 04 11 01 ы 5 39 Ей о 4 в 
00 90 00 90 00 00 00 00 00 90 900 09 90 02 00 09 ЕЕ = 2 = 
00 00 00 00 02 00 08 21 08 42 27 00 90 900 00 09 и = За оч 5 т 
00 00 90 00 00 00 090 21 00 43 27 90 00 09 98 99 рые ОЕ 
00 00 00 00 00 00 08 5 


Е НЕ Н 


50Н ООН|ООН | ЕЕН РЕН озн оон осн ооноон ООН 


Лемсе Реаа одознН 
Рапаот 


биБ \№ога ‹ О\мога \Л№ога ассе$$ 
сотитапа' ассез$ ассез$ 


Рог Рош ’Пемсе №. Пемсе 
ОЗН 04Н} хххх хх хх хххххх — соае 


М Ргофосо| м$ Мапча! (Реаа Капаот) 


[Кедцие${] Втагу 31 


лэреэн 
эреэцаптс 


лэаципи я4ом3э| 


Зи 


лэацшпи иоце]з 


я 
о в 
о а 
= 
ФФ — 
ф ФФ 
Е 
— 
ии © 
а 
5 
о 3 
= 2х 
о © 
29| 


\Л№ога 


согтапа' ассез$$ 


Ро{$ 
хх 


БОН ООН] ООН |ЕЕН ЕЕН ОЗН! ООН 


я 5 9) 9) 

Ф ВЕ Ф = 
9 3=9| 9 5 
И ет = к = 
о о о о 
а =. 
© `о% о 2 
Ф бо о © 
Ф хо с+ = 
= а = о 5 
5 го — 

о оо Ф Ф 
= 5 = =. ы. 
. с & 

=. = а 


[№ НЕ Н 
ОСН ООНООН ООН 


Лемсе Реаа одознН 


Рапаот 


ПАл/ога 

ассе$$ 

Рошп{$ 
хх 


\Л№ога ассе$$ 


Оемсе №. Бемсе 
хххххх  соае 
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Предварительные результаты 


МизиСа$$.ру 
1001_Рип.ру 
1002_Зор.ру 
1003_Раизе.ру 


ЗЕКМТСЕ 


1 
ы-ь Е Га Е 
Пя № | | 


$ТАТЕ $ЕК\УТСЕ 


| 
т 5 МЕРЫ Ш я 
| орет Ш К ПОМИ 
| Бо Ра ШТ и 
ПКПОМЛ 
= \ы. № =” 
ТЕ п т я 
ипКПоОмл 


—  реар.72 -- 
1 МБ 


| 
% Показать все: Вложений: 1 1] МБ) Скачать 
Во первых: ОНО РАБОТАЕТ НА РЕАЛЬНОМ ПЛК ИИИИИИНИИИНИНИ 


АНТОХА — МОЛОДЕЦИИИИИ 
Прям : старт - стартует, стоп — останавливает, а на паузе — моргает. 
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Исследование 


Проблемы с получением прошивки 


Обновления прошивок свободно 
скачиваются 


НО! Прошивки зашифрованы 


По косвенным признакам шифрование 
АЕ$128, проверка целостности - 5НА256 
иЕСОЗА256 


Ключи АЕЗ$ и параметры ЕСОЗА в прошивке 
(до расшифровки) не светятся, и без чтения 
флеша ничего извлечь не получится 


Выпаяли и сдампили внешнюю 
флеш-память, прошивки на ней нет 


Прозвонили ножки СРО, подцепились 
к ТАС, успешно соединились 
программатором 


СРУ вернул, что залочен и требуется 
"О Соае” для дальнейшего общения 


Не смогли сдампить флеш-память СРУ 


19 


Правило ЮТЕМ, или Учи матчасть! 


—> Управление ПЛК: Рип, З{ор, Кезе{, Раизе 


—> Внутренние устройства (Ремсе$) - 
доступны для чтения и записи, по сути 
регионы памяти ПЛК 


—> Функции безопасности 


у 


Обновление - прошивка на 5О)-карте 


—> Файловая система: создание, открытие, 
чтение, запись, закрытие и т.д. 


—> Настройка параметров ПЛК, загрузка 
проектов через файловую систему 


—> Настройки даты и времени 


Оемсе Туре ’ АЗСП 
|пру{ Хх 
Орше ВН У 
|птегпа! ге!ау М 
Рафа геди${ег в) 
ок гео {ег ро А 


—- {4% Рагатефег 
р 5узет Рагатеег/СРУ Рагатеег 
м Модце Рагате\ег 
|= Метогу Сагд Рагатеег 
Не Рето\е Разёмого 
=- 59 Ргодгат 
ЗН МАМ 


011 


110 
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@х Могк$ 3 


» Создание программ: [а4аег, 


5 Т Е В О | О 5 Е ©  масзОЕТ СХ Мон САИзеглЕпдтее Оезк№ор\1.9.8 - [РгодРоц [РЕ] [4] (Веад Оп) 26%ер] Е 
' , а ЕаЕ Бпа/Верасе Сопуей Мем Опйпе Оебуд Весофта Пвопознсь Тос! УИпаом Нар _ ах 
[= Е 36 83 РЕРЕРНЕТТТЕНЫЧЕРЕ. Ве аа + 5:3] 3 ФФ м». — ы -|; 


ааа Раз р ‚авы от . в 9% р [8 [ат [РА - 
№ |1 2 | 81| 5 8 © 


» Настройка параметров: 
СРО, ИО модулей, проекта 


Воин ЕЗЕ № 


Чтение из / запись в Вемсе 


° Мониторинг и отладка 


» Циагностика 


Что можем достать 


. Команды - пункты меню 


нтог | 4% М/аттёлд || &#1тогтаноп || $ СвесКМатич | > & 


° Устройства — монитор 
пакетного чтения/записи 


| ЕХ5и НозЕ-10.0.70.168 0/26 бер | Омегме | | мм 


° Параметр настройки - 
разница в файлах 


Симулятор 


(©) Обращается к |осаШПоз+ 
Трафик совпадает с ПЛК 


Только по ТСР 


< © 


Порт вида 55хх, не 5562 


В04СРУ 


-->> Мпа даа 


эитуцайпод 


Орегайоп оЁ а ргодгаттаЫе 
соггойег сап Бе спескед т а 

регзопа! сотрщег мПощ итд 
{пе асша! тодце. 


риа Миа! ргодгаттаЫе согигойег 
Бы (СХ $т\щаю!З) 


1.1 К04СРИУ 


$МЛТОН 
© ВИН 
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Строение симулятора 


арие- Соттапа [пе': 
ч МЕРЕ ЗЫ ННЫНЕ: \Е9тВипЗ.ехе” --вуз 1 —рНв 0 —сопйд *34А29-69044-СРИ1 — р 


ЕН ОХ/Зехе 57860 МИТЗУВИН! 
СЕЛЕ тНип3.ехе И не ВИНЫ -> ЕХБ Ца! -> м 
ТЕ т30оехе | 61984 9тз09 МИТЗИВИЗН! РХЪУ-32МТ/ЕЗ 


с] 53 


С:-ИЕ_РТуре ›ЕР$ 1пНип3 .ехе —-з9у5 1 —-рИз @ —-сопЁ19 >34й29—639044-СРИТ —-Еср 5562 -— 
—кесоп! 19 


БИ САМИп дому зузет32\ стпЧ.ехе 


ТОРРЕН$ /^4%Р КЖекпе1 Не1еазе 1.4 «рабср1ече1 = 4> 


Рок СЯ блтиабок 3 <«Ноч 23 2016. 


20:23 :11> 
СоруктчНЕ %С> 2000-2003 Бу ЕтЬе4е ап Неа]1-Тлте Зозбетз Баборабоку 
ТочоНазИт Шплу- оЁ Тесрпо1очи, ЧАРАН 
СоруктачНЕ <С> 2004—2006 Бо ЕтЬе де эп@ Неа1-Тлте Зузбептз Габокабоку 
СкаДиаЕе 5сроо1 оЁ пЁРогтабтоп бс1тепсе,. Чадоча Шплу.,. ЧАРАМ 


я 


Брутфорс команд 


ПЛК - 83 команды 


с: \ Тез ЕРЕС\ 15101511 >ВкиеСспа „ру 
—- СоппесЕ Со Но5Е ТР: 18.159 .17.12 


Со00 Спа: 
Со00 СПО: 
Со00 Спа: 
Со00 СПО: 
ВадРакат 
ВадРакгат 
ВадРакат 
ВадРакат 
ВадРакат 
ВадРакат 
Ва0Ракат 


9193 
ВН 
9121 
9148 
СПО - 
Спад: 
СПО - 
Спа: 
СПО - 
СПО: 
СПО - 


В1АВ 
928 
9118 
9411 
9412 
9413 
Ву1н 


ЕпОСоде : 
ЕпОСоде - 
ЕпОСоде : 
ЕпОСоде - 
ЕпОСоде - 
ЕпОСоде - 
ЕпОСоде - 


3988 
3989 
031 
3931 
3931 
3938 
3931 


Симулятор - 54 команды 


с -\ЕЕ_РЕТуре>›Вниеста -ру 
—- СоппесЕё Со Но5Е [Р-: 127.8.89.1 


Соо0 СпО- 9183 
С000 Спд- 9114 
Со00 Спд- 9121 
Со00 СпО- 9148 
ВадРагапт Ст: 0248 ЕпОСоде-: 48922 
ВадРагап Сп: 04178 Еп0ОСоде: 4838 
Со00 СпО- 0411 
С000 Сп: 0412 
ВадРагап Сп: 04713 Еп0Соде: 4838 
Со00 СпО- 9514 
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Реуегзе Епатеегта [53 


(5) Нет символов 


(5) Минимум строк 


© 


< 


Документация для похожего © Симулятор можно 
протокола исследовать 
в отладчике 
Коды ошибок из документации 
Результаты нашего исследования 
Знание, как все должно работать 


Скрипты для работы с протоколом 


Результаты брутфорса 
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Документация для похожего протокола 


Еуире_2: 
са11 Туре2_Сп0Напд Тен 
рор есх 
неЕп 


са11 Туре1_Сп0Напд Тен 
рор есх 


Туре _Ст9Нап91Тег еп@р 


хге у №0 зиб 71927630 -— - 


Сигесноп Туре АЧ@гесе Тех 
Ир р Туре2_Стя_04_03+127  саШМ зи б 71927630 


ТурЕ1_Стяа_04 11 12+А0 са зиыБ 71927630 


сасе Ли: 
ге5и1 Е 
Бгеак 
сасе Зи: 
ге5и1 Е 
Бкеак = 
сасе ви: 
ге5и1 Е 
Бкеак 7 


Туре2_Сп9_ 9 _ 91 (ке5ъи1); 


Тире2_С пд |9 В31ге5ъи1); 


Тире2_Сп9_ 94 _ 96 (ге5и1); 


р 


са11 510 _ {1927638 


^^ 


Оемсе Реаа | одоЗН 
Рапаот 
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Коды ошибок из документации [РЕ 


спр 
]6е 
поу 
поу 


Еггог соае 


ДЛЗАН 


стр 
Те 
поу 
поу 


[е5р+2 Вб+чак_ Е], еах 
5ПогЕ 10с_718Е6024 


есх , 
[е6>;+РАСКЕТ_РЕЗСВ .Еп9Со4е], сх 


| 


Еггог пате Еггог ЧЕТа!$ апа саизе 


Тре зрес\Чеа Ше Па$ ехсеедеа 
{Ре агеаау еж5{та Не эте. 


. 


[е5р+2 91 +-11еВеа9%ЕасКк .Веа95$12е0с], еах 
5ПогЕ 10с 21870024 

есх , 

[е6х+РАСКЕТ_СЕЗСЕ _Еп0С00е], сх 


Ее гаатеа егог 


т 


Проецирование адресов внутри симулятора [РЕ 


ШОУ7Х 
шо 
ШОУ7Х 
са11 
а00 
том 
ог 
точ 
са11 


251, 91 ПОУ2х 
есх, бо1енА точ 
е01, 61 ПОУ7Х 
СеЕНеа1йдде са11 
газ, е01 а99 
Бр, [вах+е51] поч 
Бр, мог рЕг [е5р+е51+08ВСП+а6] он 
есх, 66роов8 по 
Ссеснеа1й0де са11 
Скрипты 


251, 01 

есх, оРР5еЕе Тприё_АЕЕек_5ЕагЕ 
201, 61 

беЕНеа1йодн 

еах, е01 

Бр, [еах+е51] 

Бр, чого рег [е5р+е51+0ВСП+аб6] 
есх, оРР5еЕ Тприё_5ЕагЕ ; Йд4н 
беЕНеа1йоде 


‚ Анализ обращений за пределы существующих сегментов 


. [Группировка смещений - создание сегментов 


‚ Обозначение смещений внутрь новых сегментов 
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Результаты 


МзаНаг 
| Е О${Роще | ЗгсРои* ата | ЕПЯ | муивюск | ©71 
О\Л/ а9$ ткочте гскоцте я Наг Соае Наг 


99999939 [57 99 99 99] 99 11 11 97 90[080 ТЕ ТТ 93] 90 98 Те о 


ВОбОее-9 093 909 99]52 98] 1с а 16 14 909 909 99 909 909 99 99 Е ве а 
99090059 099 99 609 69 909 909 99 90 099 090 9690 99 99 94 1191 -------. -....... 
990000659 99 99 09 69 99 99 90 90 099 909 960 00 90002 99 99 -------. -.-..... 
ОбООб0Г9 090 900 609 090 92 90 00 21 904227 990 99 900 90 90 ....... р .. 
ООб00059 90 99 09 09 99 99 609 21 998 435 27 99 99 900 99 99 ....... Е 
Обе00099 090 900 60 90 99 99 о ния 


ооееееб9 [47 99 99 98|00 11 11 7 99[909 99 ая 93|] 09 ЕЕ Е —_........ зененнее 
09009079 03 900 909126 99] 9с ва 18 14[09 09 00 900 090 00 00 —...&.... „нии 
оовевея9 09 909 900 00 90 90 900 00 09 99 99 00 00 00 09 94 —........ у ныьь. 


ООО 99 11 91 9089 909 909 99 90 9 11 992 жанна ВЕ 


Устройства и команды 


Рем ах 
ОТВ 
о28 
ОЗ 
ОВ 
ОЗ 
ие) 
ТВ 
201 
271 
Зов 
Дов 
бов 


Мате 
|пфегпа! ге!ау 
брес<а! ге!ау 
[ атс геау 
Аппипсатог 
Зер ге!ау 
при 
Ошрш 
ата геаизтег 
Не ге ег 
Чик геа! {ег 
Титег Соптас{ 
паех гео ег 


$М 


< хот 


— 
М © 


Ме\м/ 
0121 
0410 
0411 
1001 
1002 
100А 
1410 
1411 
1867 
1868 
1869 
186А 


Ста Мате 
Моае! Мате 
Вафсй РКеаа 
Рапаот Кеаа 
Ретое РУМ 
Ретое ЭТОР 
Кето{е РЕЗЕТ 
Ва{сй \\/ще 
Рапаот \Л\/Ще 
Ореп Ее 
Реаа Е!е 
\Мгке Ее 
Созе Ее 


Мап 
0101 
0401 
0403 
1001 
1002 
1006 
1401 
1402 
1827 
1828 
1829 
182А 
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Демо Киодр+ Ю1аег К.1.Т.Т. 
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Взаимодействие с вендором 


Отправили отчет в МИзи $! 


Ответ - разослали 
по департаментам 


Подтверждение проверки 
8 уязвимостей в ПЛК, релиз 
Аа\лзогу в феврале 2022 


Ответ от департамента СХ \Л/огк$ 3, 


что релиз Аа\зогу в ноябре 2022 


Запрос по сдвигу сроков 
публикации уязвимостей в ПЛК 


Релиз информации 

о 6 уязвимостях в ПЛК: 
С\Е-2022-25155, С\МЕ-2022-25156, 
С\Е-2022-25157, С\Е-2022-25158, 
С\Е-2022-25159, СМЕ-2022-25160 


Релиз информации о 2 уязвимостях в 
ПЛК: С\Е-2022-25161, СМЕ-2022-25162 


Обновили информацию по всем 
восьми уязвимостям в ПЛК 


Релиз информации о 7 уязвимостях 
в СХ \Л\/огк$ 3 
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Уязвимости 


С\Е 


С\Е-2022-25155 


С\Е-2022-25156 


С\/Е-2022-25157 


С\/Е-2022-25158 


С\Е-2022-25159 


С\Е-2022-25160 


С\Е-2022-25161 
С\Е-2022-25162 


РезсирНоп 


зе о! Разз\мога Наб шзеаа от 
Разз\лога Тог Аи{ПепйсаНоп(С\МЕ-836) 


зе о? \\Меак Назп(С\МЕ-328) 


зе о! Раззмога Наб шзеаа от 
Разз\^ога Тог Аи{Пепйсайоп(С\МЕ-836) 


Сеакех+ З{огаде о? ЗепИме 
{огтаНоп(С\МЕ-312) 


АшПепйсаНоп Вураз$ Бу Сартиге- 
гер!ау(С\МЕ-294) 


Сеакмех+ З{огаде о{ Зеп ме 
{огтаНоп(С\МЕ-312) 


пргорег |при! \/а!ЧаНоп(С\МЕ-20) 
пргорег |при! \/а!ЧаНоп(С\МЕ-20) 


С\$$ 


5? 


5.9 


7.4 


7.4 


59 


6.8 


8.6 
5.3 


№ {Пезе мимпега Иез аге ехроКеа 


Бу атайсочц$ аЦКаскег, ап 
ипащБеписаеа аКаскег тау бе 
абБе {о |оадт {о {Пе ргоаи{$ ог {пе 
пгтаНоп п {Пе ргодис{$ тау бе 
азсозеа ог{атрегеа м\Н. 


| МЕБЗЕС 5епез: 19-2, ©-Ю, О, Е. 


Трезе ,итпегабИе$ соч! 4 аЙо\м а 


па|сюч$ аКаскег {о саизе а оз 
сопаЦ!юоп Тога ргоаис{$ ргодгат 
ехесийюоп ог сотгигсайоп Бу 
зепата эрестаЙу сгаКеа раскЕ{5. Гог 
С\Е-2022-25161, а зу\ет гезе{ о{ 
{ре ргоаис+ 1$ геашгеа Гог гесоуегу. 
МЕЕЗЕС 10-Е зепез: ЕХ5Ц(С), 


’ ЕХБУ] 


Е 


Уязвимость С\Е-2022-25161 [РЕ 


ОеуО{{ То_Веа!Аааг: Реа!Адаг = Реу{а“Аааг + ВемОН * Упи$те (Упите=2) 


РеуЗ{а[Аадсг = Ох66000 Реа!Аааг = Ох66000 + ВемОН * 2 
РемОЯ = ОхЕЕЕСОООО0 Реа!Адаг = Охб6000 + ОхЕЕЕСРОООО0 * 2 =0 
2х ОРеуОН проверяется на Мах — Если Кеа!Аааг = 0, 
| сравнивается с размером тогда проверки ВемОН 
устройства Вем$1те на Мах не происходит 


и = БечоЁЕ_То_Веа1й 90" (&0еу _ОЕЕ_То_й90г_ВеЕ\а1, &АеЕВеатАООн, вомейО9е, 96); 
411 = ВПОРО\еАООеЬ ос „беутТ ах: 

у12 = 9: 

БеуъЕкисТОх = 9: 

1! ) 

доЕо Веа1йЧ9к_15_Ми11; 
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Демо РоС С\Е-2022-25161 на макете нефть 


Нефтеперекачивающая станция 
Магистральные насосные агрегаты 
Запорные и регулирующие задвижки 


ПЛК управляет насосами и 
задвижками 


Состояние и параметры техпроцесса 
на экране 5САВА 


-- 


Уязвимость С\Е-2022-25162 


обво0е00- 98 01868) 8% 00 02 01|08 90 03 00 00 00 10 02 | --Х.. нь -- 
90000018 - т И 
ВВ00002 8 - | оо оменс 
90000038 - Е ооо 


вВВОвВнВ: 
ВВВ999= В: 
ВВВВНВБЫ : 
ОВВВВВ: В 


---НННН, ...ЛИЫ2ъ 
| -.-„6 - ]0*Вк-в^лоЕ“Р 
| -И2949и-=скэзЦ..-. 


Размер для контрольной суммы: Е!еВоаузхе = Еее - Неадегте 


00000000- #8 +1 ц5 52 | | НАСКЕВ 


ЕИеВоауз те = 6 - Ох4ВАЗ = ОхЕЕЕЕВАСЗ 
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Демо РоС С\МЕ-2022-25162 на макете вода 


Водозаборная станция 
Установки для обработки воды 
Резервуары чистой воды 
Насосы для перекачки из водоема 
ПЛК управляет насосами 


Состояние и параметры техпроцесса 
на экране 5САВА 


от 


Сравнение РоС 


С\Е-2022-25161 С\/55:3.1: 8.6 


Действие на ПЛК: 


ПЛК в ошибке 

Программа не работает 
Выходы гаснут 

Нет связи по всем портам 
Не пингуется 


С\УЕ-2022-25162 С\/55:3.1: 5.3 


Действие на ПЛК: 


ПЛК работает 

Программа работает 

Выходы не гаснут 

Нет связи по порту соединения 
Пингуется 


Добавка к Рос 


Вышибаем СКАДА, если он подключен к порту 5560 
Применяем Во$ по очереди для каждого порта 
Нет связи по основным портам 
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Итоги исследования 


Разобрать протокол 
и получить его 
описание 


Научиться общаться 
в ПЛК с помощью 
скриптов 


Найти уязвимости 
в ПЛК 


САКО 


®5-485 в0® 


50 


КАМ 50/80 ® 


ССК Фечвовк 


01234567 
$ 
10 11 12 13 1415161 


ЕХ5Ц-32М 


07101234567 
Юй 1415161 
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и 
7. 


Благодарю за внимание! 


в И 
\ Вопросы? 277 


| \ | 

И | 

| 5 догтапагиоп@ тлей. сот 
,@ в @АпопроЧтан 


не | НРЕоаа" ре 


` 2022 \ | 


